行业研究-敏感信息防护评估方法与应用-2010

1、敏感信息防护评估方法与应用敏感信息防护评估方法与应用麦志鹏、叶展均摘要：本文针对信息系统中敏感信息 敏感信息通常是指若干敏感数据及其相互关系的总和。防护，阐述了“从信息平台分析技术数据流，从业务流程提炼业务数据流，技术、业务双保护实现敏感信息控制”的评估方法和量化风险控制指标体系。关键词：敏感信息 业务安全 控制指标一. 概述如何识别敏感信息泄露风险、衡量和评价敏感信息的控制水平，这是企业解决敏感信息保护问题的前提，也是安全业界面临的一个崭新课题。数据是信息的载体，且数据在IT系统中是不断流动的，存在着产生、传递、存储、使用、销毁等过程。要实现敏感信息的防护，必须要明确数据的正常流转路径、潜在

2、的泄露途径和位置，进而评价敏感信息泄露的可能性和影响大小，采取有针对性的控制措施。基于上述思想，绿盟科技提出“从信息平台分析技术数据流，从业务流程提炼业务数据流，技术、业务双保护实现敏感信息控制”的评估方法，从数据正常流转的申请、审批、获取、传递、保存和监管等六个环节出发，从信息平台入手分析技术数据流，从业务层面分析敏感信息的业务流程，然后对技术数据流和业务数据流进行综合分析，并对企业敏感信息的控制能力进行评价及选择相应的控制措施，以降低敏感信息泄露的风险。二. 敏感信息保护评估2.1 评估模型敏感信息保护评估采用基于业务数据流的方式进行，是建立在业务流程评估的基础上的。业务流程是以一种或者多

3、种输入为条件，从而为客户创造某种价值输出的活动的集合，具有业务目标、业务规则、业务活动、输入和输出、支撑资源、创造价值等特征。基于业务流程，通过梳理归纳敏感信息的流转路径，明确业务数据流的接续、数据处理过程，识别敏感信息潜在的泄露途径、位置和控制措施。2.2 评估内容和控制指标基于评估模型，在对业务承载（支撑）系统深入理解的基础上，主要从数据申请、审批、获取、传递、保存和监管等六个方面来评估敏感信息保护情况。这几个方面覆盖了业务逻辑中的主要数据处理活动，以及业务目标、业务输入、业务输出、业务规则、业务支撑等活动要素。同时，这六个方面也反映了主要敏感信息控制指标。下面是评估内容及控制指标的细化项

4、： 敏感信息控制指标表序号控制流程控制要求1数据申请有明文化的申请流程在表单中根据企业的要求明确信息的敏感性在表单中明确数据使用范围和时间在表单中明确数据使用者（系统、人员、部门）数据索取每次都通过申请并记录登记2数据审批有明文化的审批流程3数据获取对于获取数据的类型和级别有进行明文规定4数据传递有明文化的传递流程5数据保存对于系统存储的电子数据的保护程度6监督管理制定了敏感信息的管理和使用规定2.3 成熟度量化和控制指标量化敏感信息保护模型成熟度参考COBIT的成熟度模型为框架，结合了部分SSE-CMM的内容，对控制项进行控制能力的量化和赋值，具体的控制成熟度量化表如下：成熟度量化表量化值成

5、熟度成熟度描述0没有级别不存在任何过程，企业没有意识到这个问题。1初始级有证据显示，企业已经意识到问题的存在并需要解决，然而不存在标准化的流程，只是存在一个针对某个具体应用或者具体操作的特定方法，并未组织整体的管理方法。2可重复级不同的人执行相同的任务遵循类似的流程，未就标准化的流程进行正式培训或传达，职责赋予给个人。高度依赖于个人的知识，因此可能会发生错误。3定义级流程已经成为标准化的文件，并通过培训进行传达。然而对于是否遵循该流程要依赖于个人，也不可能检查是否违规。程序本身也不成熟，仅仅是现有惯例的正式化。4管理级可以监控并测量流程的符合度，当流程无法按预期运行时可以采取有效措施。流程正处

6、于不断的改进中，并提供良好的实践作为支撑，以有限的或者零散的方法来使用自动化的解决方案和工具。5优化级基于持续改进和与其他企业成熟度模型比较的结果，已经将流程优化到一个最佳实践的状态，以整合的方式来使用IT来使工作自动化，为改进质量和控制力提供有效工具，并使企业可以快速响应该类问题。敏感信息控制指标表中一共列出了6大方面及若干个控制项，控制成熟度表中列出了打分的标准，一共分为5个级别，分别描述各个级别控制水平状况。在量化时，针对每个系统进行逐控制项打分，最后获得平均分加上评估顾问的调节分数即是该项控制的得分。每项得分与该项所占权重经过计算之后便获得最终风险控制水平的分数。计算公式：L=(Wa&

7、#215;La)/Wa,a>0。其中：L是某级评价内容的赋值。La是该级评价内容的第a个子评价内容赋值。Wa是该级评价内容的第a个子评价内容所占的权重。2.4 安全控制措施根据评估结果，基于企业的风险接受准则，可以选择风险降低、风险保持、风险回避和风险处置等控制策略，以及相应的管理、技术控制措施。三. 敏感信息保护评估流程敏感信息保护评估划分为五个主要阶段：第一阶段 确定敏感信息保护评估的范围和边界。第二阶段“从信息平台分析技术数据流”从提供敏感信息的申请、审批和结果交付等功能的信息平台入手，通过细粒化的分析得到信息平台承载的全部技术数据流，并在此基础上，针对每一条数据流从网络、系统、应

8、用、数据等不同层面，深入挖掘、识别和分析潜在的安全风险。第三阶段“从业务过程提炼业务数据流”梳理与敏感信息有关的业务过程，并将业务过程与技术数据流进行匹配，描绘出系统的业务数据流。同时，在业务数据流图上清晰标注敏感信息在业务数据流中的流转和存储情况，深入挖掘业务数据流中的业务风险。第四阶段“技术业务两层面评估控制能力”根据在第二阶段和第三阶段对技术数据流和业务数据流的分析，按照控制指标体系和成熟度模型归纳到数据申请、审批、获取、传递、保存和监管六个方面的控制评估，从而得到整体保护的控制能力评价。第五阶段“敏感信息控制实现”选择敏感信息控制的目标，并采用有效的管理、技术手段进行保护。四. 敏感信

9、息保护评估实例以下是按照敏感信息保护评估模型，在某移动实施的评估过程和结果。从信息平台分析技术数据流：分析得到信息平台的每一条技术数据流，并在此基础上深入挖掘技术数据流中网络边界、平台安全、数据安全的技术风险，获得技术数据流分析结果：从业务流程提炼业务数据流：识别信息平台上承载的敏感信息，包括集团客户信息、详单、个人客户信息、批量信息等，并整理出与敏感信息有关的主要业务流，以及每一个业务活动中敏感信息的产生、流向和存储情况，如下图所示。其中红色图标代表在业务过程产生的中间过程数据，蓝色图标代表业务过程生成的结果数据，编号与业务流图业务流程图（略）相对应。技术业务双流保护评估：分析在每个主要业务流程中现存的安全风险，主要包括流程类风险和底层平台存在的安全风险。并通过控制指标的加权计算，得到客户目前在敏感信息控制方面的成熟度已达到“3-已定义级”，即对敏感信息进行了有效的控制，并形成了标准化的文件和初步自动化的解决方案和工具等。在敏感信息控制实现上，设定总体的控制目标从“3-已定义级”提升至“4-管理级”，也就是“敏感信息控制指标”的满足度高于80%。为实现本目标，提出了业务优化、管理优化和技术